Zendesk’in Android SDK uygulamasında, saldırganların herhangi bir kullanıcı etkileşimi olmadan toplu hesap devralmaları gerçekleştirmesini sağlayan kritik bir güvenlik açığı keşfedilmiştir.
3.000 dolarlık bir hata ödülü kazanan kusur, etkilenen kuruluşlardaki tüm Zendesk destek biletlerine yetkisiz erişim sağlayan öngörülebilir jeton üretim mekanizmalarından kaynaklanıyor.
Key Takeaways
1. Predictable JWT tokens in Zendesk’s Android SDK allow zero-click account takeovers.
2. Attackers can mass-generate tokens without rate limits to access all tickets and data.
3. Fix by using high-entropy secrets, enforcing rate limits, and auditing mobile auth.
Güvenlik açığı, Zendesk Android SDK’sının, öngörülebilir JWT belirteçleri oluşturmak için sert kodlanmış sırları sıralı hesap kimlikleriyle birleştirerek kimlik doğrulama jetonları ürettiğinde temel bir zayıflıktan yararlanır.
Bu tasarım kusuru, kötü niyetli aktörlerin herhangi bir kullanıcı etkileşimi veya sosyal mühendislik gerektirmeden herhangi bir kullanıcı hesabı için sistematik olarak geçerli kimlik doğrulama jetonları üretmesini sağlar.
Hesap devralma güvenlik açığı
Voorivex’in ekibi, güvenlik açığının, kusurlu bir jeton üretimi algoritmasını uygulayan Zendeskhelper.g () yönteminde bulunduğunu bildirir. Yöntem, öngörülebilir bir formül kullanarak kimlik doğrulama jetonları oluşturur:
Jeton oluşturma işlemi şu adımları izler:
- Base String Construction: Redacted- {hesapId}-{hardcodedSecret}
- SHA-1 hash üretimi: Taban ipi Sha-1 karma ile işlenir
- Nihai belirteç biçimi: {celpID} _ {sha1hash}
Kritik kusur iki temel zayıflıktan ortaya çıkar: tüm kurulumlarda sabit kalan statik sert kodlanmış bir sır (987SDASDLKJLAKDJF) ve kolayca numaralandırılabilen sıralı hesap kimlikleri (getRemoteID ()) kullanımı.
Bu kombinasyon, saldırganların sadece hesap kimliği aralıkları aracılığıyla tekrarlayarak herhangi bir kullanıcı için geçerli kimlik doğrulama jetonları oluşturabileceği bir senaryo oluşturur.
Kimlik doğrulama akışı/Access/SDK/JWT uç noktalarına sonrası istekler gönderir:
Sunucu, tüm biletleri okuma, yeni istekler gönderme ve destek arayüzü aracılığıyla mevcut herhangi bir işlem gerçekleştirme yeteneği de dahil olmak üzere, kurbanın Zendesk destek ortamına tam erişim sağlayan geçerli bir Access_token ile yanıt verir.
Güvenlik açığı, sistematik jeton üretimi ve validasyonu yoluyla sıfır tıkaç kitle hesabı devralma saldırılarını sağlar.
Saldırganlar, hesap kimliği aralıkları aracılığıyla yineleme, karşılık gelen jetonlar oluşturmak ve oranı sınırlama veya hesap kilitleme mekanizmalarını tetiklemeden Zendesk uç noktalarına karşı doğrulamak için otomatik komut dosyaları uygulayabilir.
Başarılı Sömürü Saldırganların Erişim Hibeleri:
- Hassas müşteri iletişimi içeren eksiksiz bilet geçmişleri
- Destek görüşmeleri içindeki kişisel tanımlanabilir bilgiler (PII)
- Dahili şirket iletişim ve destek prosedürleri
- Müşteri şikayet modelleri ve iş zekası verileri
- Meşru kullanıcıları destek etkileşimlerinde taklit etme yeteneği
Güvenlik açığı, mobil destek entegrasyonu için Zendesk’in Android SDK’sını kullanan ve potansiyel olarak dünya çapında binlerce şirketi etkileyen herhangi bir organizasyonu etkiler.
Bu kritik kusur, öngörülebilir kimlik doğrulama mekanizmaları ile ilişkili ciddi güvenlik risklerini göstermektedir ve mobil uygulama geliştirme yaşam döngüsü boyunca sağlam jeton üretim sistemlerinin ve kapsamlı güvenlik testlerinin uygulanmasının önemini vurgulamaktadır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.